<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><meta http-equiv="Content-Language" content="zh-CN"><title>systemd.journal-fields
  中文手册 [金步国]</title><style>
@font-face { font-family: "JinBuGuoWebMono"; src: url("http://www.jinbuguo.com/d/mono.ttf") format("truetype"); }
* { font-family: "JinBuGuoWebMono", "Ubuntu Mono", "Consolas", "Menlo", monospace; }
body { margin:10px; }
h1 { text-align:center; background:#ddd; }
h2#auth_name { text-align:center; margin: 10px 5%; }

    a.headerlink {
      color: #c60f0f;
      font-size: 0.8em;
      padding: 0 4px 0 4px;
      text-decoration: none;
      visibility: hidden;
    }

    a.headerlink:hover {
      background-color: #c60f0f;
      color: white;
    }

    h1:hover > a.headerlink, h2:hover > a.headerlink, h3:hover > a.headerlink, dt:hover > a.headerlink {
      visibility: visible;
    }
</style><script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?d286c55b63a3c54a1e43d10d4c203e75"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><h1>systemd.journal-fields 中文手册</h1><h2 id="auth_name">译者：<strong><a href="http://www.jinbuguo.com/">金步国</a></strong></h2><hr><h3>版权声明</h3><p>本文译者是一位开源理念的坚定支持者，所以本文虽然不是软件，但是遵照开源的精神发布。</p><ul><li>无担保：本文译者不保证译文内容准确无误，亦不承担任何由于使用此文档所导致的损失。</li><li>自由使用：任何人都可以自由的<u>阅读/链接/打印</u>此文档，无需任何附加条件。</li><li>名誉权：任何人都可以自由的<u>转载/引用/再创作</u>此文档，但必须保留译者署名并注明出处。</li></ul><h3>其他作品</h3><p>本文译者十分愿意与他人分享劳动成果，如果你对我的其他翻译作品或者技术文章有兴趣，可以在如下位置查看现有的作品集：</p><ul><li><a href="http://www.jinbuguo.com/">金步国作品集</a> [ <a href="http://www.jinbuguo.com/">http://www.jinbuguo.com/</a> ]</li></ul><h3>联系方式</h3><p>由于译者水平有限，因此不能保证译文内容准确无误。如果你发现了译文中的错误(哪怕是错别字也好)，请来信指出，任何提高译文质量的建议我都将虚心接纳。</p><ul><li>Email(QQ)：70171448在QQ邮箱</li></ul><hr><a href="systemd.index.html">手册索引</a> ·
  <a href="systemd.directives.html">指令索引</a><span style="float:right">systemd-241</span><hr><div class="refentry"><a name="systemd.journal-fields"></a><div class="titlepage"></div><div class="refnamediv"><h2>名称</h2><p>systemd.journal-fields — 特殊的日志字段</p></div><div class="refsect1"><a name="id-1.4"></a><h2 id="描述">描述<a class="headerlink" title="Permalink to this headline" href="systemd.journal-fields.html#%E6%8F%8F%E8%BF%B0">¶</a></h2><p>每一条日志都像是数据库中的一条记录，
    并且字段的内容可以是二进制数据。
    文本字段统一格式化为UTF-8格式，
    二进制字段仅在格式化为UTF-8无意义时才使用二进制格式。
    应用可以自由定义新字段，
    但是某些字段名称具有特定的专属含义。
    所有具有特定专属含义的字段都是可选的。
    在某些情况下，同一个字段可以在同一条日志记录中出现多次。</p></div><div class="refsect1"><a name="id-1.5"></a><h2 id="用户字段">用户字段<a class="headerlink" title="Permalink to this headline" href="systemd.journal-fields.html#%E7%94%A8%E6%88%B7%E5%AD%97%E6%AE%B5">¶</a></h2><p>用户字段是指那些直接从客户端传递过来的字段，
    并且会被存储在日志文件中。</p><div class="variablelist"><dl class="variablelist"><dt id="MESSAGE="><span class="term"><code class="varname">MESSAGE=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#MESSAGE=">¶</a></dt><dd><p>人类易读的消息字符串。
          这是显示给用户的主要文本，
          通常不被转换(个别情况例外)，
          并且不用于创建该条日志的元数据。</p></dd><dt id="MESSAGE_ID="><span class="term"><code class="varname">MESSAGE_ID=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#MESSAGE_ID=">¶</a></dt><dd><p>消息类型标识符。
          一个不含任何标点符号、用小写十六进制字符串表示的128位无符号整数(如果存在的话)。
          开发者可以使用
          <span class="command"><strong>journalctl <code class="option">--new-id128</code></strong></span> 命令生成一个与UUID兼容的新标识符。
          </p></dd><dt id="PRIORITY="><span class="term"><code class="varname">PRIORITY=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#PRIORITY=">¶</a></dt><dd><p>消息优先级(也就是日志等级)，
          是一个 0 ("<code class="literal">emerg</code>")
          到 7 ("<code class="literal">debug</code>") 之间的十进制整数。
          与 <a class="ulink" href="http://www.jinbuguo.com/linux/sysklogd.html" target="_top">syslog</a> 的消息优先级含义相同。</p></dd><dt id="CODE_FILE="><span class="term"><code class="varname">CODE_FILE=</code>, </span><span class="term"><code class="varname">CODE_LINE=</code>, </span><span class="term"><code class="varname">CODE_FUNC=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#CODE_FILE=">¶</a></dt><dd><p>产生此消息的
          程序源代码的具体位置(如果知道的话)：
          源代码文件名、行号、函数名。</p></dd><dt id="ERRNO="><span class="term"><code class="varname">ERRNO=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#ERRNO=">¶</a></dt><dd><p>导致产生此消息的底层Unix错误代码(如果存在的话)，
          是一个
          <a href="http://man7.org/linux/man-pages/man3/errno.3.html"><span class="citerefentry"><span class="refentrytitle">errno</span>(3)</span></a>
          格式的十进制整数。</p></dd><dt id="SYSLOG_FACILITY="><span class="term"><code class="varname">SYSLOG_FACILITY=</code>, </span><span class="term"><code class="varname">SYSLOG_IDENTIFIER=</code>, </span><span class="term"><code class="varname">SYSLOG_PID=</code>, </span><span class="term"><code class="varname">SYSLOG_TIMESTAMP=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#SYSLOG_FACILITY=">¶</a></dt><dd><p>与 <a class="ulink" href="http://www.jinbuguo.com/linux/sysklogd.html" target="_top">syslog</a>
          兼容的字段：
          facility(一个十进制数字，表示产生日志的子系统)、标签、客户端PID 、原始日志报文中的时间戳。
          其中的"标签"通常由
          glibc 的
          <a href="https://linux.die.net/man/3/program_invocation_short_name"><span class="citerefentry"><span class="refentrytitle">program_invocation_short_name</span>(3)</span></a> 函数生成。</p></dd><dt id="SYSLOG_RAW="><span class="term"><code class="varname">SYSLOG_RAW=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#SYSLOG_RAW=">¶</a></dt><dd><p>原始日志报文中的 syslog 行的原始内容。
          仅当 <code class="varname">MESSAGE=</code>
          字段被修改、
          或者无法正确定位时间戳(不包含
          <code class="varname">SYSLOG_TIMESTAMP=</code>)时，才会包含此字段。
          当日志消息包含前导或尾随空格(将会被删除)、
          或者包含
          <code class="constant">NUL</code> 字节(<code class="constant">NUL</code>
          字节及其后的任何内容将会被删除)时，消息将被截断。因此，原始 syslog
          行要么存储为 <code class="varname">SYSLOG_RAW=</code> 、
          要么根据存储的优先级以及 facility, timestamp, identifier, <code class="varname">MESSAGE=</code>
          重新创建。
          </p></dd></dl></div></div><div class="refsect1"><a name="id-1.6"></a><h2 id="可信字段">可信字段<a class="headerlink" title="Permalink to this headline" href="systemd.journal-fields.html#%E5%8F%AF%E4%BF%A1%E5%AD%97%E6%AE%B5">¶</a></h2><p>可信字段是指名称以下划线开头的字段。
    这些字段由日志守护进程添加，客户端无法掌控这些字段的内容，
    因此是"可信的"。</p><div class="variablelist"><dl class="variablelist"><dt id="_PID="><span class="term"><code class="varname">_PID=</code>, </span><span class="term"><code class="varname">_UID=</code>, </span><span class="term"><code class="varname">_GID=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_PID=">¶</a></dt><dd><p>产生此日志消息的进程的：
          PID、UID、GIU ，都是十进制的数字。
          注意，通过派生进程的 "<code class="literal">stdout</code>" 或
          "<code class="literal">stderr</code>" 获得的日志项中会包含父进程的认证证书
          (用于发起到 <span class="command"><strong>systemd-journald</strong></span> 的连接)</p></dd><dt id="_COMM="><span class="term"><code class="varname">_COMM=</code>, </span><span class="term"><code class="varname">_EXE=</code>, </span><span class="term"><code class="varname">_CMDLINE=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_COMM=">¶</a></dt><dd><p>产生此日志消息的进程的：
          名称、执行路径、命令行</p></dd><dt id="_CAP_EFFECTIVE="><span class="term"><code class="varname">_CAP_EFFECTIVE=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_CAP_EFFECTIVE=">¶</a></dt><dd><p>产生此日志消息的进程的有效
          <a href="http://man7.org/linux/man-pages/man7/capabilities.7.html"><span class="citerefentry"><span class="refentrytitle">capabilities</span>(7)</span></a>
          </p></dd><dt id="_AUDIT_SESSION="><span class="term"><code class="varname">_AUDIT_SESSION=</code>, </span><span class="term"><code class="varname">_AUDIT_LOGINUID=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_AUDIT_SESSION=">¶</a></dt><dd><p>产生此日志消息的进程的：
          审计会话、审计登录UID ，
          这两个信息由内核的审计子系统负责维护。</p></dd><dt id="_SYSTEMD_CGROUP="><span class="term"><code class="varname">_SYSTEMD_CGROUP=</code>, </span><span class="term"><code class="varname">_SYSTEMD_SLICE=</code>, </span><span class="term"><code class="varname">_SYSTEMD_UNIT=</code>, </span><span class="term"><code class="varname">_SYSTEMD_USER_UNIT=</code>, </span><span class="term"><code class="varname">_SYSTEMD_SESSION=</code>, </span><span class="term"><code class="varname">_SYSTEMD_OWNER_UID=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_SYSTEMD_CGROUP=">¶</a></dt><dd><p>产生此日志消息的进程的：
          systemd cgroup路径、systemd slice 单元、
          systemd 单元名称(若存在)、
          systemd 用户会话单元名称(若存在)、systemd 会话ID(若存在)
          systemd 用户单元的属主UID 或
          产生原始日志消息的进程的systemd会话(若存在)属主UID</p></dd><dt id="_SELINUX_CONTEXT="><span class="term"><code class="varname">_SELINUX_CONTEXT=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_SELINUX_CONTEXT=">¶</a></dt><dd><p>产生此日志消息的进程的 SELinux
          安全上下文(label)</p></dd><dt id="_SOURCE_REALTIME_TIMESTAMP="><span class="term"><code class="varname">_SOURCE_REALTIME_TIMESTAMP=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_SOURCE_REALTIME_TIMESTAMP=">¶</a></dt><dd><p>此日志消息的最早可信时间戳(若可知)，
          这不同于此消息被接收到的时间。
          值是一个整数，。
          表示距离1970年1月1日零时(UTC/GMT午夜)的微秒数(比秒更精确)</p></dd><dt id="_BOOT_ID="><span class="term"><code class="varname">_BOOT_ID=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_BOOT_ID=">¶</a></dt><dd><p>产生此日志消息时所处的"启动ID"，
          是一个用小写十六进制字符串表示的
          128位无符号整数。</p></dd><dt id="_MACHINE_ID="><span class="term"><code class="varname">_MACHINE_ID=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_MACHINE_ID=">¶</a></dt><dd><p>产生此日志消息的主机的"machine ID"，
          参见
          <a href="machine-id.html#"><span class="citerefentry"><span class="refentrytitle">machine-id</span>(5)</span></a> 手册。</p></dd><dt id="_SYSTEMD_INVOCATION_ID="><span class="term"><code class="varname">_SYSTEMD_INVOCATION_ID=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_SYSTEMD_INVOCATION_ID=">¶</a></dt><dd><p>产生此日志消息的单元当时所处的运行周期(invocation ID)。
          也就是该单元内的进程所能看到的
           <code class="varname">$INVOCATION_ID</code> 变量的值(参见
          <a href="systemd.exec.html#"><span class="citerefentry"><span class="refentrytitle">systemd.exec</span>(5)</span></a> 手册)</p></dd><dt id="_HOSTNAME="><span class="term"><code class="varname">_HOSTNAME=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_HOSTNAME=">¶</a></dt><dd><p>产生此日志消息的主机的主机名。</p></dd><dt id="_TRANSPORT="><span class="term"><code class="varname">_TRANSPORT=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_TRANSPORT=">¶</a></dt><dd><p>此日志消息的
          来源：
          </p><div class="variablelist"><dl class="variablelist"><dt id="
                audit
              "><span class="term">
                <code class="option">audit</code>
              </span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20audit%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20">¶</a></dt><dd><p>内核审计系统
                </p></dd><dt id="
                driver
              "><span class="term">
                <code class="option">driver</code>
              </span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20driver%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20">¶</a></dt><dd><p>由内部生成
                </p></dd><dt id="
                syslog
              "><span class="term">
                <code class="option">syslog</code>
              </span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20syslog%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20">¶</a></dt><dd><p>通过syslog协议
                从本地syslog套接字文件获取
                </p></dd><dt id="
                journal
              "><span class="term">
                <code class="option">journal</code>
              </span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20journal%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20">¶</a></dt><dd><p>通过本地日志协议
                获取
                </p></dd><dt id="
                stdout
              "><span class="term">
                <code class="option">stdout</code>
              </span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20stdout%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20">¶</a></dt><dd><p>服务的
                标准输出(STDOUT)与标准错误(STDERR)
                </p></dd><dt id="
                kernel
              "><span class="term">
                <code class="option">kernel</code>
              </span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20kernel%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20">¶</a></dt><dd><p>内核消息
                </p></dd></dl></div></dd><dt id="_STREAM_ID="><span class="term"><code class="varname">_STREAM_ID=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_STREAM_ID=">¶</a></dt><dd><p>此字段仅用于 "<code class="literal">_TRANSPORT=stdout</code>" 记录，
          表示日志流的唯一ID标识(在创建日志流时自动生成的128位随机ID)，每个日志流都拥有一个唯一ID标识。
          该字段可用于在日志中标记来自同一个日志流的全部记录。</p></dd><dt id="_LINE_BREAK="><span class="term"><code class="varname">_LINE_BREAK=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_LINE_BREAK=">¶</a></dt><dd><p>此字段仅用于 "<code class="literal">_TRANSPORT=stdout</code>" 记录，
           表示来自标准输出流或标准错误流的日志消息并不是以常规的换行符("<code class="literal">\n</code>", ASCII 10)结束的。
          具体说来就是：(1) <code class="option">nul</code> 表示以 NUL 字节终止；
          (2) <code class="option">line-max</code> 表示因为到达了最大行长度而终止(参见
          <a href="journald.conf.html#"><span class="citerefentry"><span class="refentrytitle">journald.conf</span>(5)</span></a>
          手册中的 <code class="varname">LineMax=</code> 选项)；
          (3) <code class="option">eof</code> 表示这是日志流中的最后一条记录，并且此日志流没有以常规的换行符终结。
          注意，如果日志记录以常规的换行符作为结束标记，
          那么将不会生成此字段。</p></dd></dl></div></div><div class="refsect1"><a name="id-1.7"></a><h2 id="内核字段">内核字段<a class="headerlink" title="Permalink to this headline" href="systemd.journal-fields.html#%E5%86%85%E6%A0%B8%E5%AD%97%E6%AE%B5">¶</a></h2><p>内核字段是指那些
    来源于内核的消息所特有的字段。</p><div class="variablelist"><dl class="variablelist"><dt id="_KERNEL_DEVICE="><span class="term"><code class="varname">_KERNEL_DEVICE=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_KERNEL_DEVICE=">¶</a></dt><dd><p>内核设备名称。
          块设备用 "b主设备号:次设备号" 格式，
          字符设备用 "c主设备号:次设备号" 格式，
          网络设备用 "n主设备号:次设备号" 格式。
          对于其他类型的设备，
          则用
          "+子系统名称:内核设备名" 格式，
          例如：
           "+platform:rtc_cmos" 或 "+scsi:host0"</p></dd><dt id="_KERNEL_SUBSYSTEM="><span class="term"><code class="varname">_KERNEL_SUBSYSTEM=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_KERNEL_SUBSYSTEM=">¶</a></dt><dd><p>该设备所属的内核子系统名称。例如： "platform" 或 "scsi"</p></dd><dt id="_UDEV_SYSNAME="><span class="term"><code class="varname">_UDEV_SYSNAME=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_UDEV_SYSNAME=">¶</a></dt><dd><p>该设备在 <code class="filename">/sys</code> 中显示的名称。
          例如： "rtc_cmos" 或 "host0"</p></dd><dt id="_UDEV_DEVNODE="><span class="term"><code class="varname">_UDEV_DEVNODE=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_UDEV_DEVNODE=">¶</a></dt><dd><p>该设备在 <code class="filename">/dev</code> 中的节点路径。
          例如："/dev/bus/usb/002/001"</p></dd><dt id="_UDEV_DEVLINK="><span class="term"><code class="varname">_UDEV_DEVLINK=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#_UDEV_DEVLINK=">¶</a></dt><dd><p>在
           <code class="filename">/dev</code> 中指向此设备节点的额外软连接名称。
          此字段可能有多个。</p></dd></dl></div></div><div class="refsect1"><a name="id-1.8"></a><h2 id="代表其他程序记录的字段">代表其他程序记录的字段<a class="headerlink" title="Permalink to this headline" href="systemd.journal-fields.html#%E4%BB%A3%E8%A1%A8%E5%85%B6%E4%BB%96%E7%A8%8B%E5%BA%8F%E8%AE%B0%E5%BD%95%E7%9A%84%E5%AD%97%E6%AE%B5">¶</a></h2><p>这些字段用于表明
    其中的内容来自于其他程序或单元。
    </p><p> <span class="command"><strong>systemd-coredump</strong></span>
    会使用如下两个字段：
    </p><div class="variablelist"><dl class="variablelist"><dt id="COREDUMP_UNIT="><span class="term"><code class="varname">COREDUMP_UNIT=</code>, </span><span class="term"><code class="varname">COREDUMP_USER_UNIT=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#COREDUMP_UNIT=">¶</a></dt><dd><p>用于表明包含内存转储(coredump)的消息
          来源于哪个单元(可能是系统单元或用户单元)。参见
          <a href="coredumpctl.html#"><span class="citerefentry"><span class="refentrytitle">coredumpctl</span>(1)</span></a> 手册。
          </p></dd></dl></div><p>特权程序(UID=0)可以添加一个
    <code class="varname">OBJECT_PID=</code> 字段。
    这将导致 <span class="command"><strong>systemd-journald</strong></span>
    根据调用者的行为添加更多的额外字段：</p><div class="variablelist"><dl class="variablelist"><dt id="OBJECT_PID=PID"><span class="term"><code class="varname">OBJECT_PID=<em class="replaceable"><code>PID</code></em></code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#OBJECT_PID=PID">¶</a></dt><dd><p>此条日志消息所附属的进程的PID
          </p></dd><dt id="OBJECT_UID="><span class="term"><code class="varname">OBJECT_UID=</code>, </span><span class="term"><code class="varname">OBJECT_GID=</code>, </span><span class="term"><code class="varname">OBJECT_COMM=</code>, </span><span class="term"><code class="varname">OBJECT_EXE=</code>, </span><span class="term"><code class="varname">OBJECT_CMDLINE=</code>, </span><span class="term"><code class="varname">OBJECT_AUDIT_SESSION=</code>, </span><span class="term"><code class="varname">OBJECT_AUDIT_LOGINUID=</code>, </span><span class="term"><code class="varname">OBJECT_SYSTEMD_CGROUP=</code>, </span><span class="term"><code class="varname">OBJECT_SYSTEMD_SESSION=</code>, </span><span class="term"><code class="varname">OBJECT_SYSTEMD_OWNER_UID=</code>, </span><span class="term"><code class="varname">OBJECT_SYSTEMD_UNIT=</code>, </span><span class="term"><code class="varname">OBJECT_SYSTEMD_USER_UNIT=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#OBJECT_UID=">¶</a></dt><dd><p>这些就是
          <span class="command"><strong>systemd-journald</strong></span> 额外添加的字段，
          其含义与如下对应的字段相同(见前文)：
          <code class="varname">_UID=</code>,
          <code class="varname">_GID=</code>,
          <code class="varname">_COMM=</code>,
          <code class="varname">_EXE=</code>,
          <code class="varname">_CMDLINE=</code>,
          <code class="varname">_AUDIT_SESSION=</code>,
          <code class="varname">_AUDIT_LOGINUID=</code>,
          <code class="varname">_SYSTEMD_CGROUP=</code>,
          <code class="varname">_SYSTEMD_SESSION=</code>,
          <code class="varname">_SYSTEMD_UNIT=</code>,
          <code class="varname">_SYSTEMD_USER_UNIT=</code>,
          <code class="varname">_SYSTEMD_OWNER_UID=</code>


           。</p></dd></dl></div></div><div class="refsect1"><a name="id-1.9"></a><h2 id="定位字段">定位字段<a class="headerlink" title="Permalink to this headline" href="systemd.journal-fields.html#%E5%AE%9A%E4%BD%8D%E5%AD%97%E6%AE%B5">¶</a></h2><p>在将日志内容转化为外部其他格式(例如
    <a class="ulink" href="https://www.freedesktop.org/wiki/Software/systemd/export" target="_top">Journal
    Export Format</a> 或 <a class="ulink" href="https://www.freedesktop.org/wiki/Software/systemd/json" target="_top">Journal
    JSON Format</a>)的时候，
    用于对日志消息进行定位的字段将被命名为以双下划线开头的名称。
    注意，这些字段并不存在于日志数据库中，
    仅用于导出日志时对每条消息进行定位。
    在使用例如
    <a href="http://www.jinbuguo.com/systemd/sd_journal_send.html#"><span class="citerefentry"><span class="refentrytitle">sd_journal_send</span>(3)</span></a>
    这样的接口存储日志时也禁止使用这些字段名称，同样的，也不可用于
    <a href="http://www.jinbuguo.com/systemd/sd_journal_add_match.html#"><span class="citerefentry"><span class="refentrytitle">sd_journal_add_match</span>(3)</span></a> 接口进行匹配。</p><div class="variablelist"><dl class="variablelist"><dt id="__CURSOR="><span class="term"><code class="varname">__CURSOR=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#__CURSOR=">¶</a></dt><dd><p>此条日志的游标。
          游标是一个文本字符串，类似于该条日志的指纹，
          唯一的确定了此条日志的位置，
          并且可以跨机器、跨平台、跨日志文件保持唯一性。
          </p></dd><dt id="__REALTIME_TIMESTAMP="><span class="term"><code class="varname">__REALTIME_TIMESTAMP=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#__REALTIME_TIMESTAMP=">¶</a></dt><dd><p>日志收集守护进程接收到该条消息时的
          主板硬件时钟时间戳(<code class="constant">CLOCK_REALTIME</code>)。
          值是一个整数，
          表示距离1970年1月1日零时(UTC/GMT午夜)的微秒数。
          注意，该字段与"<code class="literal">_SOURCE_REALTIME_TIMESTAMP=</code>"字段不同，
          该字段的值一般略晚于"<code class="literal">_SOURCE_REALTIME_TIMESTAMP=</code>"字段的值，
          并且通常是单调递增的。
          </p></dd><dt id="__MONOTONIC_TIMESTAMP="><span class="term"><code class="varname">__MONOTONIC_TIMESTAMP=</code></span><a class="headerlink" title="Permalink to this term" href="systemd.journal-fields.html#__MONOTONIC_TIMESTAMP=">¶</a></dt><dd><p>日志收集守护进程接收到该条消息时的
          严格单调递增时间戳(<code class="constant">CLOCK_MONOTONIC</code>)。
          值是一个整数，
          表示距离此次系统启动以来的微秒数。
          与"<code class="literal">_BOOT_ID=</code>"组合使用，
          可精确的定位此条日志。
          </p></dd></dl></div></div><div class="refsect1"><a name="id-1.10"></a><h2 id="参见">参见<a class="headerlink" title="Permalink to this headline" href="systemd.journal-fields.html#%E5%8F%82%E8%A7%81">¶</a></h2><p>
        <a href="systemd.html#"><span class="citerefentry"><span class="refentrytitle">systemd</span>(1)</span></a>,
        <a href="journalctl.html#"><span class="citerefentry"><span class="refentrytitle">journalctl</span>(1)</span></a>,
        <a href="journald.conf.html#"><span class="citerefentry"><span class="refentrytitle">journald.conf</span>(5)</span></a>,
        <a href="http://www.jinbuguo.com/systemd/sd-journal.html#"><span class="citerefentry"><span class="refentrytitle">sd-journal</span>(3)</span></a>,
        <a href="coredumpctl.html#"><span class="citerefentry"><span class="refentrytitle">coredumpctl</span>(1)</span></a>,
        <a href="systemd.directives.html#"><span class="citerefentry"><span class="refentrytitle">systemd.directives</span>(7)</span></a>
      </p></div></div></body></html>
